随着互联网技术的迅猛发展,许多用户的关键业务越来越多地基于WEB应用,在通过浏览器方式实现展现与交互的同时,用户的业务系统所受到的威胁也随之而来,并且随着业务系统的复杂化及互联网环境的变化,所受威胁也在飞速增长。为此比特网记者就Web应用安全及数据库安全话题采访了杭州安恒信息技术有限公司总裁范渊先生。
主持人:各位网友大家好,欢迎收看比特网直话IT栏目,我是主持人于捷,本期我们邀请到的嘉宾是杭州安恒信息技术有限公司总裁范渊先生,范总您好。
范渊:您好。
主持人:请您先和我们网友打声招呼吧。
范渊:大家好。
主持人:在访谈的一开始,我想请您先介绍一下杭州安恒信息技术有限公司,以及我们的企业文化。
范渊:杭州安恒是我07年从美国开始创办的,我之前一直在美国从事网络安全这块工作,同时本人也是05、06年两届的黑帽大会的演讲者,出于对Web安全和数据化安全自己拥有很浓重的兴趣和热情,于是在07年初回来开始创办杭州安恒信息。
应该说短短的不到三年的时间,现在杭州安恒信已经是成为业界公认的在Web安全和数据化安全的领导者,整个路走下来我们感觉也是非常欣慰,当然也还有很多的路要走。
从公司的企业文化来说,我们是推崇一个求实、协作、创新和感恩这样的一个文化氛围,应该说整个团队目前杭州安恒是在北京、上海、深圳和成都都有一个分支机构,有一百多人发展还是非常快,谢谢。
主持人:近几年,随着互联网快速发展,人们对于网络的使用趋于依赖,随着Web 2.0时代到来,越来越多的应用开始在网络上普及,随之也带来了很多安全问题,您可以就您的经验来谈谈现阶段互联网正在面临怎样的威胁,我们应如何去应对呢?
范渊:是,这个好问题,实际上从07年回来以后,我们开始跟有一些客户、朋友聊起Web安全这个话题,当初说实话很少有人会认同这个话题,但到了今天我想很少有人会否认这个话题,现在Web安全已经成为整个业界公认的第一威胁,我想这样的发展也跟整个黑客产业链的变迁有关系。
之前的整个黑客产业链应该说它借助一些,比如说我给你发一些垃圾邮件,我希望你通过点击就能够中招,通过这个来控制你的机器,窃取相关的财产和相关的信息。
但是随着个人意识的提高,它变得越来越不起作用,而与之相反的就是说,现在大量的黑客产业它依赖于攻克相关的网站,攻克所有一些在线的网上营业厅、网银、各种各样的在线系统网站,通过这个然后挂马,或者当作跳板,达到最后控制这些访问这个网站和这个系统这样一些人。
最终他就控制大量我们讲的肉鸡群从而可以窃取相关的银行帐号、股票帐号和做各种各样的事情,所以说现在Web安全是业界公认的第一号威胁,这也是我们看到整个互联网安全的一个非常核心点。
同时我还想再提一句就是前面我们年初提到的网络战,我在美国的时候也经常提起这个话题,如果真的发生网络战争那么网站将成为首先攻击的目标,桥头堡一个碉堡的这样一个地位,因为大家在互联网上所能够探取到的,首先是这块领域,他可以借助这个作为跳板,或者借助这个作为它的一个攻击的要点来进行下一步攻击。
主持人:刚刚已经提到,安恒是一家专业从事Web 安全产品的企业,您可以就我们的产品来具体谈谈吗?我们都有那些产品,是如何相辅相成帮助客户免受安全威胁的?
范渊:好的,安恒信息应该说做产品非常专业,它现在只做Web应用安全和数据库安全,从大的意义上来说其实数据库也属于整个应用系统的一部分。
那么现在安恒信息的整个产品系列应该说非常的简明,它其实包含了Web安全的攻防和数据库安全的攻防这样两个系列。那么简单来说它有首先是Web应用弱点扫描,就是发现漏洞,就像我们体检发现问题。
然后是Web应用防火墙,就是来防护、来保护解决问题,就加固这一块。
另外数据库而言,我们针对数据库现在内控的话,我们有专门非常专业的数据库审计和风险控制。另外针对刚才说的体检这一块,就是有数据库的扫描和检测这一块。
主持人:安恒一直都在响应国家颁布的等级保护相关政策,但是绝大多数企业对于等级保护还是很陌生的,是否可以从我们安恒的角度来谈谈等级保护,给我们的企事业单位一些好的意见呢!
范渊:安恒信息首先它不是一个做等级保护测评的公司,这点我先澄清一下,因为等级保护测评它总的来说是一个裁判员的工作。而安恒应该说是一个专业的,对于国家的等级保护做一项大量的技术支撑工作,等一下我会慢慢讲到,它应该说是属于一个比较专业的运动员。
首先从07年开始,实际上安恒信息已经很自然的就融入到为国家等级保护提建设做相关的技术支持的工作,包括07年开始申报的作为公安部创新项目的应用弱点扫描器。后来也是成为公安部三所等级保护测评中心专门选用的对所有Web安全,我们传统意义上的网站安全,包括内网叫应用系统安全检测的专用的等级保护测评工具。
我们的数据库检测,针对数据库的弱口令、弱配置就等级保护数据库的章节检测工具,目前也是三所的等级保护测评以及很多分中心等级保护检测当中专用数据库安全的等保检测的工具,这是我们讲的检测一块。
另外一个就是安恒实际上是提供了专业的,针对Web安全和数据库安全这一块等级保护加固这一块的体系,这个加固体系,首先它应该是由产品和服务两块。
那么产品这个系列,我刚才也提到了有Web应用防火墙和数据库审计这两块应该说是目前国内,乃至整个全球来说是做的非常专业的一个产品系列。我们的很多功能、特性,什么连国外的有一些产品都无法超越的。
主持人:据我所知除了安全产品之外,安恒在安全服务方面做的也很到位,您可以就这部分内容给我们的观众做一个简单的介绍吗?还有就是您刚刚提到的等级保护评测,实质上是和安全服务相关的,它们关联度是怎么产生的?
范渊:这是一个好问题,实际上这块问题很多人经常会提及。我先简单的讲一讲,首先安恒它是有这个产品和专业的安全服务两个大组,专业的安全服务我从来不认为产品和服务是可以分割的。
事实上我们的专业安全服务从07年开始,包括当时给教育考试院的应急响应。包括后续我们给全国数千个,甚至近万个网站进行相关安全检测和协助的加固,这些加固包括从产品层面,从非产品层面,从服务层面都做了大量的工作。包括当时从08年的奥运金保障网站,以及09年的六十周年国庆的网站安全金保障,都是做了大量的工作。因为这里面我觉得尤其在一开始大家意识还不强的情况下,实际上我们也大量做了,应该有很多的社会意义在里面。
另外我们也是很荣幸的成为08年奥组委的网站安全、数据库安全的产品和服务的提供商,我们这块的安全服务应该说比较有特色,不是一个纯粹比如像传统来说,比如说我帮你维保一下,我帮你装装病毒,其实我们是一个作为,主要来说还是可能从Web安全和数据库安全硬安全领域,当然我们也有专门针对全网,整个网络安全和27001这样的咨询,这样的一些安全服务。
从我们的专业安全服务来说,现在也越来越多的得到很多客户和行业的认可,现在我们也注意到像金融、银行、证券,包括运营商,他都非常重视整个这种体系型的风险评估。因为你只有真正了解自己的弱点,你才能知道该怎么去加固,所以这个事实上也应该成为今后整个安全体系里非常重要的一部分。
实际上不管是等级保护也好,还是我们讲的国外,经常提起这个BS7799,还是27001,其实很多东西我经常在有些会上讲就是殊途同归了,他们其实也都是在总结很多的体系规范,最终能够纳入,就是跟我们这个相结合,各个企业相结合能够达到相应的风险控制,这样的一个目的。
说到等级保护和安全服务的关系,我觉得首先等级保护的测评是一个通过性测试。简单来说等级保护不能取代安全服务,安全服务也不能取代等级保护,简单来说。但是好的安全服务可以为企业,通过等级保护达到一个非常好的效果,简单来说应该是这么样一种关系。
主持人:据我所知,安恒今年刚刚得到了一笔新的风险投资,我们在2010的市场及渠道战略是否会有所调整,因为安恒以前给人的印象一直是很低调的,是不是在整体的市场战略上会有所突破呢?随着创业板的推出,有没有想过上市的问题?
范渊:是的,我一直是技术出身,就是从这十几年走下来确实让安恒整个文化,包括你肯定也看到了,在整个媒体上,包括整个市场战略确实之前一直非常低调,甚至可以说几乎没有任何的动作,我们主要是把很多的精力都花在了产品的研发、产品的品质以及对用户的服务上面。
因为本身的公司发展非常快,随之而来我们还是希望在这样快的节奏当中,还是能够保持对用户服务的一个满意度,就是能真正为用户创造的一个价值。
那么从07年开始到现在应该说两年多时间,我们是在今年的七、八月份,我们获得了就是您说的风险投资,这个风险投资是浙江的创投进行的风险投资,应该说整个非常顺利。
因为我觉得始终这种风险投资首先是建立在一个相互信任的基础上,另外他也是基于对安恒的一种方向的认可,还有安恒实力和团队的一个认可。
我们确实有打算从年底到明年年初开始要进行一些比较,新兴的市场战略和规划,那么对于创业版而言我是这么一个观点,就是说首先我觉得还是要按照企业既定的目标。
企业的文化要能够向前和稳步的发展,这也是我刚才讲的,就是企业文化的第一步首先是要求实,真正能够把产品做好,能够为用户创造价值。因为这个市场前景非常大,我觉得在未来我们按既定的目标走,我们跟创业版的碰撞一定是一个很自然的事情。
主持人:好,也祝愿我们的安恒信息早日上市。
范渊:谢谢。
主持人:在产品的研发上,我们在明年是否会有新的产品推出?与现阶段的产品会有怎样的融合?
范渊:可以,首先我们刚才说的这个产品系列,应该说是非常完整的这样一个系列。目前也可以说是在应用安全领域,我们国内唯一的一家能够提供完整解决方案的一个厂商,我们首先的目标在明年也还是会加大力气把这个产品做的更深,更精,把优势继续扩大。
另外我们会有一款产品推出,并且这款产品还是一款非常有特色的产品,这款产品暂时保密,后续我也会借助比特网在向外发布。
同时我刚才顺便讲一下,就是讲到产品系列这一块,现有的产品系列我们除了,刚才讲的应用安全里面,我们现在还有一款特色的产品是针对运营商的,运营商的包括上网站就是它针对非法、反动、色情,包括这一类的内容监察以及备案情况的监察,这块实际上也是我们的一个很大的优势,因为本身垂直的一个领域,但是在相关的领域我们的口碑也非常好,我顺便讲一下,谢谢。
主持人:最后,请您为我们的广大用户提一些意见,从而帮助他们避免一些日常中经常会遇到的安全问题。
范渊:谢谢,意见谈不上,我觉得谈谈几点体会吧,首先是作为一个安全的话题,就是说不管是哪一方面,我觉得首先是人的问题,人的意识然后各方面的管理,意识到了从上到下意识到了他自然而然欲有个方面的软硬的一些措施会到位,我觉得会说世界上没有一个绝对的安全。但是我们至少可以保证我们可以把风险控制到最低,这个我想也是,我们始终就是作为安全领域内所坚持的一个观点。
另外一个角度讲,我们也是作为一个专业的安全厂商,也是希望能够在一个领域里能够精益求精,为用户创造更大的价值,谢谢。
主持人:好的,今天十分感谢范总接受比特网的产品,也十分感谢各位网友的聆听谢谢大家。
范渊:谢谢。
已有
